Obligaciones del proveedor de la Ley de IA de la UE: una lista de comprobación práctica
El Artículo 16 de la Ley de IA de la UE enumera 13 obligaciones del proveedor: SGC, expediente del Anexo IV, evaluación de la conformidad, DdC, marcado CE, registro. Plazo: 2 de diciembre de 2027.
El Artículo 16 del Reglamento (UE) 2024/1689 es la lista maestra de obligaciones del proveedor — no define requisitos por sí mismo, sino que apunta hacia una docena de otros. Si se omite cualquiera de ellos, el techo sancionador es de 15 millones de euros o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor (Artículo 99, apartado 4). Los sistemas de IA de alto riesgo autónomos deben cumplir a partir del 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026; los sistemas integrados en productos del Anexo I a partir del 2 de agosto de 2028. Eso no es razón para esperar — solo la documentación lleva meses ensamblarla adecuadamente.
Esta lista de comprobación recorre cada obligación del Artículo 16 en secuencia y señala las decisiones con las que tropiezan los proveedores primerizos.
¿Quién es un proveedor?
En virtud del Artículo 3, un proveedor es toda persona física o jurídica que desarrolla un sistema de IA de alto riesgo — o que hace que se desarrolle — y lo introduce en el mercado bajo su propio nombre o marca. Una empresa SaaS que comercializa un cribador de selección de personal es un proveedor. También lo es un equipo interno que construye un modelo de solvencia y lo despliega internamente.
El Artículo 25 puede desplazar la función de proveedor sobre una parte que originalmente era un responsable del despliegue o un distribuidor — si pone su nombre en un sistema de terceros, lo modifica sustancialmente o cambia su finalidad prevista, se pone en la piel del proveedor con todas las obligaciones que se derivan.
La lista de comprobación del Artículo 16
El Artículo 16 enumera las obligaciones del proveedor por referencia. A continuación se detalla cada elemento, con el artículo subyacente desarrollado.
1. Garantizar que el sistema cumple los requisitos de la sección 2 (Artículos 8 a 15)
Antes de introducir un sistema de alto riesgo en el mercado, debe verificar que cumple los requisitos sustantivos del Capítulo III, sección 2: un sistema de gestión de riesgos (Artículo 9); gobernanza de datos (Artículo 10); documentación técnica (Artículo 11); generación automática de registros (Artículo 12); transparencia hacia los responsables del despliegue, incluidas las instrucciones de uso (Artículo 13); diseño de la supervisión humana (Artículo 14); y exactitud, robustez y ciberseguridad adecuadas (Artículo 15). El Artículo 8 es el encabezamiento que los une.
Documentar cada requisito a medida que se construye es el único enfoque viable. Reunir las pruebas a posteriori rara vez sobrevive a una inspección de vigilancia del mercado.
2. Colocar su nombre, marca y datos de contacto (Artículo 16, letra b))
Todo sistema de IA de alto riesgo debe llevar el nombre (o la marca) del proveedor y una dirección de contacto. Esto se aplica al sistema y a toda la documentación técnica — las autoridades reguladoras lo utilizan para identificar quién es responsable cuando algo sale mal.
3. Establecer un sistema de gestión de la calidad — Artículo 17
Su SGC debe abarcar todo el ciclo de vida del desarrollo: especificaciones de diseño, metodología de desarrollo, pruebas y validación, gestión de riesgos, gestión de cambios, vigilancia poscomercialización y notificación de incidentes. El Artículo 17, apartado 1, enumera los elementos requeridos. La ISO/IEC 42001 se corresponde estrechamente con esta estructura y es una referencia útil. Para las empresas con menos de 250 empleados, el Artículo 17, apartado 3, permite una documentación simplificada — pero simplificada no significa ausente.
4. Preparar la documentación técnica — Artículo 11 / Anexo IV
La documentación técnica es la columna vertebral del expediente de cumplimiento. El Anexo IV especifica los contenidos requeridos: una descripción general del sistema y la finalidad prevista; una descripción detallada de la arquitectura, los algoritmos y los datos; información de seguimiento y control; el procedimiento de evaluación de la conformidad; la declaración de conformidad; y los datos de vigilancia poscomercialización una vez que el sistema esté en funcionamiento. Esta documentación debe conservarse durante diez años tras la introducción en el mercado (Artículo 18) y debe estar disponible en una lengua oficial de la UE previa solicitud de una autoridad de vigilancia del mercado.
5. Conservar los registros generados automáticamente — Artículo 19
Cuando el sistema genere registros automáticamente, debe conservarlos durante al menos seis meses — más, cuando otra norma de la Unión lo exija. Los ciclos rutinarios de eliminación de datos que borran los registros antes de seis meses son una laguna recurrente en las inspecciones de vigilancia del mercado.
6. Realizar la evaluación de la conformidad — Artículo 43
Antes de la introducción en el mercado, debe completar una evaluación de la conformidad. Para la mayoría de las categorías del Anexo III, esto es una autoevaluación interna (vía del Anexo VI): contrastar el sistema con cada requisito, documentar las pruebas, registrar el resultado. El Anexo III, punto 1 — identificación biométrica, categorización biométrica y reconocimiento de emociones cuando no esté ya prohibido — requiere generalmente la vía del organismo notificado del Anexo VII en su lugar.
La evaluación no es un ejercicio de archivo puntual. Debe repetirse siempre que una modificación sustancial (Artículo 3, apartado 23) afecte al perfil de riesgo del sistema o a su finalidad prevista.
7. Emitir la declaración UE de conformidad — Artículo 47
Una vez completada la evaluación de la conformidad, redacta la declaración de conformidad (DdC) en virtud del Artículo 47. Identifica el sistema y al proveedor, declara que se cumplen los requisitos del Reglamento (UE) 2024/1689, hace referencia al procedimiento de evaluación de la conformidad y lleva la firma del proveedor (el Anexo V especifica los contenidos requeridos). Emitir una DdC para un sistema no conforme atrae el nivel del Artículo 99, apartado 5: hasta 7,5 millones de euros o el 1 %.
8. Aplicar el marcado CE — Artículo 48
Tras una evaluación de la conformidad válida y la DdC, coloque el marcado CE en el sistema o, cuando no sea factible, en su embalaje o en la documentación que lo acompaña. El Artículo 48 exige que siga los principios generales del Reglamento (UE) 765/2008. No puede aplicarse antes de que se complete la evaluación de la conformidad — es la señal visible de que el proveedor reclama la conformidad.
9. Registrarse en la base de datos de la UE — Artículo 49
Los sistemas de IA de alto riesgo deben registrarse antes de la introducción en el mercado. El Artículo 49 establece la obligación; el Artículo 71 establece la propia base de datos. El registro es público. El Anexo VIII especifica la información requerida: la identidad del proveedor, la finalidad prevista, la categoría de riesgo, el estado de la evaluación de la conformidad y la referencia de la DdC. Un sistema que reclama la exención del Artículo 6, apartado 3, debe registrarse de todos modos — la exención no es una dispensa del registro.
10. Adoptar medidas correctivas cuando un sistema no conforme está en el mercado — Artículo 20
Si se entera de que un sistema desplegado no se ajusta a los requisitos, debe actuar sin demora: adoptar medidas correctivas, retirarlo o recuperarlo según sea necesario, y notificar a los responsables del despliegue. Cuando la no conformidad ponga en riesgo los derechos fundamentales, notifique a la autoridad de vigilancia del mercado pertinente. Un procedimiento documentado de acción correctiva — construido a partir de su seguimiento del Artículo 72 y de los canales de retroalimentación de los responsables del despliegue — es a la vez obligatorio y una buena práctica.
11. Demostrar la conformidad previa solicitud
El Artículo 16, letra j), exige a los proveedores demostrar la conformidad siempre que una autoridad nacional competente lo solicite. La autoridad puede solicitar cualquier documento del expediente técnico, el acceso al SGC y pruebas de la evaluación de la conformidad — innegociable y normalmente esperado en un plazo de diez días hábiles.
12. Accesibilidad — Artículo 16, letra k)
Cuando el Derecho de la Unión o nacional exija la accesibilidad para las personas con discapacidad, la documentación que acompaña al sistema y las instrucciones de uso deben cumplirla. Incorpore esto a la lista de comprobación de diseño del SGC desde el principio.
13. Designar a un representante autorizado si está fuera de la UE — Artículo 22
Los proveedores establecidos fuera de la UE deben designar a un representante autorizado antes de la introducción en el mercado. El representante está establecido en la UE, figura en la DdC, conserva la documentación técnica y es el punto de contacto único para las autoridades de vigilancia del mercado. El mandato debe constar por escrito — esto no es un formalismo.
La exención del Artículo 6, apartado 3: vale la pena documentarla cuidadosamente
No todo sistema en un ámbito del Anexo III es de alto riesgo. En virtud del Artículo 6, apartado 3, un sistema escapa a la clasificación si satisface cualquiera de las condiciones: tarea procedimental limitada; mejora de una actividad humana previamente realizada; detección de patrones de toma de decisiones sin sustituir la evaluación humana; o trabajo preparatorio para una decisión humana. Todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo con independencia de ello.
La exención requiere documentación completa y el registro del Artículo 49. Es una vía más ligera a través del marco, no una salida del mismo.
Obligaciones poscomercialización: Artículos 72 y 73
El cumplimiento no termina en la introducción en el mercado. El Artículo 72 exige a los proveedores supervisar el rendimiento del sistema en condiciones reales — recopilando datos, detectando la deriva del rendimiento e identificando riesgos que no surgieron durante las pruebas previas a la comercialización. El Artículo 73 rige la notificación de incidentes graves: cuando un sistema de alto riesgo provoque o contribuya a la muerte, lesiones personales, daños a una infraestructura crítica o una violación grave de los derechos fundamentales, el proveedor informa a la autoridad de vigilancia del mercado del Estado miembro donde se produjo el incidente. El plan de vigilancia poscomercialización forma parte del Anexo IV — debe existir antes del lanzamiento.
El cambio de función en virtud del Artículo 25
El Artículo 25 es la regla que atrapa a las empresas en la frontera entre proveedor y responsable del despliegue. Un responsable del despliegue que coloca su nombre en un sistema de alto riesgo, lo modifica sustancialmente (Artículo 3, apartado 23) o cambia su finalidad prevista se pone en la función de proveedor — y hereda toda la lista de comprobación del Artículo 16. Las empresas que envuelven servicios de IA de terceros en una interfaz propietaria y comercializan el resultado bajo su propia marca activan esto con frecuencia sin darse cuenta.
Sanciones y el tope de proporcionalidad
Las infracciones de las obligaciones del proveedor entran dentro del Artículo 99, apartado 4: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. En virtud del Artículo 99, apartado 6, para las empresas más pequeñas y las empresas emergentes la multa es la menor de las dos cifras — el 3 % de 2 millones de euros de volumen de negocios son 60.000 €, muy por debajo de los 15 millones de euros. El tope no reduce la obligación; reduce la exposición si no cumple. Facilitar información engañosa a las autoridades o a los organismos notificados es el nivel independiente del Artículo 99, apartado 5: hasta 7,5 millones de euros o el 1 %.
Cómo ayuda Confir
Recorrer la lista de comprobación del Artículo 16 en varios sistemas produce una carga de documentación sustancial. Confir estructura toda la pila de obligaciones del proveedor — clasificando cada sistema en virtud de los Artículos 5 y 6, derivando la función aplicable e impulsando una evaluación estructurada a través de AIRC (clasificación de riesgos), AITR (datos y robustez técnica), AITO (transparencia y supervisión) y AIGM (gobernanza y vigilancia poscomercialización). Para los sistemas en función de proveedor, genera el paquete de documentación técnica del Artículo 11 / Anexo IV y la declaración de conformidad del Artículo 47 / Anexo V. El motor es basado en reglas y determinista: las mismas entradas, el mismo resultado, siempre.
Preguntas frecuentes
¿Cuál es la diferencia entre un proveedor y un responsable del despliegue en virtud de la Ley de IA de la UE? Un proveedor (Artículo 16) desarrolla un sistema de IA de alto riesgo y lo introduce en el mercado bajo su propio nombre — soportando toda la pila de obligaciones: SGC, documentación técnica, evaluación de la conformidad, DdC, marcado CE y registro. Un responsable del despliegue (Artículo 26) utiliza profesionalmente un sistema de terceros; sus obligaciones son más ligeras — seguir las instrucciones, conservar los registros durante seis meses (Artículo 26) y supervisar el rendimiento. La mayoría de las empresas que compran herramientas de IA son responsables del despliegue; las empresas SaaS que comercializan funciones de IA a sus clientes son normalmente proveedoras.
¿Cuándo se aplican las obligaciones del proveedor según el calendario del Ómnibus Digital? Los sistemas de alto riesgo autónomos del Anexo III deben cumplir a partir del 2 de diciembre de 2027; la IA de alto riesgo integrada en productos regulados (Anexo I — productos sanitarios, máquinas) a partir del 2 de agosto de 2028. Ambas fechas sustituyeron al plazo original del 2 de agosto de 2026 en virtud del acuerdo político de mayo de 2026. Las sanciones del Artículo 99 se aplican desde el 2 de agosto de 2025.
¿Necesito un organismo notificado para la evaluación de la conformidad? Para la mayoría de las categorías del Anexo III, no. El Artículo 43 permite la autoevaluación interna (Anexo VI): usted contrasta el sistema con cada requisito, documenta las pruebas y registra el resultado. La vía del organismo notificado del Anexo VII se aplica principalmente al Anexo III, punto 1 — sistemas de identificación biométrica, categorización biométrica y reconocimiento de emociones (cuando no esté ya prohibido en virtud del Artículo 5). La vía aplicable depende del punto del Anexo III, no de una regla general.
¿Qué declara realmente la declaración UE de conformidad (DdC)? Redactada en virtud del Artículo 47 de conformidad con el Anexo V, la DdC identifica el sistema y su finalidad prevista, nombra al proveedor y a cualquier representante autorizado, declara que se cumplen los requisitos del Reglamento (UE) 2024/1689 y hace referencia al procedimiento de evaluación de la conformidad utilizado. Es un documento jurídico — las autoridades de vigilancia del mercado pueden exigirlo en cualquier momento. Emitir una DdC para un sistema no conforme atrae el Artículo 99, apartado 5: hasta 7,5 millones de euros o el 1 %.
¿Qué es la exención del Artículo 6, apartado 3, y cuándo puedo apoyarme en ella? Un sistema en un ámbito del Anexo III no es de alto riesgo si satisface cualquiera de cuatro condiciones: tarea procedimental limitada; mejora de una actividad humana previamente realizada; detección de patrones de toma de decisiones sin sustituir la evaluación humana; o trabajo preparatorio. Todo sistema que elabore perfiles de personas físicas queda excluido — sigue siendo de alto riesgo con independencia de ello. Reclamar la exención requiere documentación completa y el registro del Artículo 49. La exención no dispensa del deber de registro.
¿Qué ocurre en virtud del Artículo 25 si construyo sobre un sistema de IA de terceros? El Artículo 25 desplaza la función de proveedor sobre usted si coloca su propio nombre o marca en un sistema de alto riesgo de terceros, lo modifica sustancialmente (Artículo 3, apartado 23) o cambia su finalidad prevista. Se deriva toda la pila del Artículo 16 — SGC, documentación técnica, evaluación de la conformidad, DdC, marcado CE, registro. Las empresas que envuelven servicios de IA de terceros en una interfaz propietaria y comercializan el resultado bajo su propia marca activan esta regla con frecuencia sin darse cuenta.
¿Qué exposición a multas afronta un proveedor por incumplimiento? Las infracciones del Artículo 16 y de los requisitos de los Artículos 8 a 15 a los que hace referencia entran dentro del Artículo 99, apartado 4: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor. En virtud del Artículo 99, apartado 6, las empresas y las empresas emergentes pagan la menor de las dos cifras — para una empresa con 2 millones de euros de volumen de negocios, el 3 % son 60.000 €. Facilitar información engañosa a las autoridades o a los organismos notificados es el Artículo 99, apartado 5: hasta 7,5 millones de euros o el 1 %.
Guías relacionadas
- marco de clasificación de riesgo de los Artículos 6 a 11
- definiciones y terminología del Artículo 3
- fundamentos de la Ley de IA de la UE explicados
- requisitos de cumplimiento del proveedor SaaS
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →